DAJ CYNK

Jedenaste: nie pirać programów, bo złapiesz ransomware na swoim drogim MacBooku

Anna Rymsza

Bezpieczeństwo

Ransomware atakuje macOS

Na Maca niestety są wirusy. Niewiele, ale jednak. Do tego użytkownicy sami zapraszają je do systemu. Specjaliści znaleźli właśnie nowy typ ransomware, który można złapać przez pirackie programy dla systemu macOS.

Dalsza część tekstu pod wideo
 

Malware dostał przydomek EvilQuest. Został opisany niezależnie przez specjalistów z Dinesha Devadossa z K7 Lab, Particka Wardle i specjalistów z Malwarebytes. Można go znaleźć w niektórych programach, pobieranych z nieautoryzowanych źródeł. Specjaliści wymieniają takie programy jak Ableton Live, popularny wśród DJ-ów grających na żywo, Mixed In Key 8 czy Little Snitch – prawdopodobnie najlepiej znany firewall dla macOS, ale trzeba mieć się na baczności także przy ściąganiu innych programów.

Zobacz: Windows nie jest już królem wirusów. Na komputery Apple jest więcej ataków

EvilQuest nie budzi podejrzeń

EvilQuest instaluje się razem z pirackim programem i podszywa się pod pozornie nieszkodliwe narzędzia. Może to być Google Updater albo Apple Crash Reporter. Uruchomiony nie tylko szyfruje pliki na komputerze ofiary, ale też zapisuje naciśnięte klawisze, wykrada kryptowaluty z portfeli i daje atakującym zdalny dostęp do maszyny. Do tego ma mechanizmy utrudniające usunięcie. W jego działaniu widać podobieństwa do innych szczepów ransomware atakujących macOS, w szczególności KeRanger i Patcher.

Atak zaczyna się w momencie, gdy ofiara ściągnie z nieautoryzowanego źródła piracki program z „niespodzianką”. Specjaliści zwracają uwagę, że fałszywy instalator jest dobrze przygotowany i ma nawet podrobiony cyfrowy podpis, choć atakujący nie postarali się o ikonkę dla niego. Bywa i tak.

Po uruchomieniu instalacji poza pirackim programem w systemie umieszczany jest też malware. Co ważne, szkodnik sprawdza, czy jest uruchomiony z podłączonym debuggerem. To ma utrudnić rozgryzienie jego mechanizmów działania. Podobnie jak KeRanger, EvilQuest nie zaczyna pracy od razu, ale czeka kilka dni. Dzięki temu trudniej powiązać jego obecność z konkretnym programem.

Zobacz: Komputery Apple z procesorami ARM - czy będą bezpieczniejsze?

Ponadto malware jest w stanie zakończyć pracę wielu programów antywirusowych. Na koniec zmienia ustawienia, by był uruchamiany przy każdym logowaniu użytkownika. Teraz jest gotowy do szyfrowania danych.

ransomware atakuje macOS

EqilQuest zaczyna szyfrowanie od portfela kryptowalut i menedżera haseł Pęk kluczy. Dopiero po zakończeniu tego procesu prosi o wpłatę 50 dolarów w ciągu 72 godzin. Bardziej niebezpieczne jest jednak to, że malware daje zdalny dostęp do komputera i komunikuje się z centrum sterowania. Nawet po zapłaceniu okupu ofiara nie będzie bezpieczna.

W tej sytuacji najlepszą obroną jest częste robienie kopii zapasowych danych, trzymanie ich na innym urządzeniu oraz ostrożność przy instalacji programów z niepewnych źródeł.

Chcesz być na bieżąco? Obserwuj nas na Google News

Źródło tekstu: Malwarebytes, Patrick Wardle, K7 Lab